MANAGEMENT DE LA SECURITE DE L INFORMATION UNE APPROCHE NORMATIVE : BS7799-2

Dimension: px
Commencer à balayer dès la page:

Download "MANAGEMENT DE LA SECURITE DE L INFORMATION UNE APPROCHE NORMATIVE : BS7799-2"

Transcription

1 DOSSIER TECHNIQUE MANAGEMENT DE LA SECURITE DE L INFORMATION UNE APPROCHE NORMATIVE : BS Décembre 2004 Groupe de Travail BS7799-2/SMSI CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANÇAIS 30, rue Pierre Semard, PARIS Tél. : Fax : Web :

2 REMERCIEMENTS Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Régis BOURDONNEC Philippe CHAILLEY Anne COAT Christian GATEAU Stéphane GEYRES Frédéric HUYNH Jean ISNARD Laurent MARECHAL Fred MESSIKA Béatrice RENARD Paul RICHY Hervé SCHAUER Isabelle WAS BNP Paribas - Cardif Ercom Silicomp AQL France Telecom Transpac Ernst & Young Ernst & Young Euronext Silicomp - AQL Lynx Technologies France Telecom France Telecom HSC Deloitte Nous remercions aussi les membres ayant participé à la relecture. Management de la SI Une approche normative - I - CLUSIF 2004

3 TABLE DES MATIÈRES 1. INTRODUCTION OBJECTIF DE CE DOCUMENT LECTORAT TERMINOLOGIE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L INFORMATION (SMSI) DÉFINITION D UN SMSI COMMENT METTRE EN PLACE UN SMSI? LA NORME BS7799-2: HISTORIQUE DESCRIPTION DE LA NORME Périmètre de la norme Structure de la norme RECONNAISSANCE INTERNATIONALE BS ET SMSI BS ET LA GESTION DE LA SÉCURITÉ Qui est concerné par la norme elle-même? Qui est concerné par le SMSI? Analyse des risques Gestion du risque Processus d amélioration continue BS ET QUALITÉ BS ET ANALYSE DE RISQUES BS ET CERTIFICATION LA CERTIFICATION BS DES ORGANISMES LA CERTIFICATION «LEAD AUDITOR» DES PERSONNES AUTRES PRATIQUES ET NORMES DE CERTIFICATION ISO ISO CONCLUSION Management de la SI Une approche normative - II - CLUSIF 2004

4 1. INTRODUCTION 1.1 Objectif de ce document L objectif de ce document est de présenter au lecteur, à travers la norme britannique BS :2002, une démarche de mise en œuvre d un système de management de la sécurité de l information dans les organismes. 1.2 Lectorat Les documents du CLUSIF sont généralement à destination des RSSI et des DSI. L élargissement du périmètre à l ensemble de l information (et non plus au système d information) dans le cadre ISO17799 ou BS7799 nous incite à proposer une cible sensiblement plus large : comme pour le document ISO 17799, tous les professionnels de la sécurité de l information, mais aussi tous les professionnels d organismes impliqués dans la sécurité : directeurs sécurité, secrétaires généraux, les Directions Générales dans la mesure où l on parle de certification, ce qui implique une décision et un engagement au plus haut niveau de l organisme. 1.3 Terminologie Pour l ensemble du document, on entend par «organisme» : toute entité (entreprise, administration, organisation, association, etc.) ainsi que tout sous-ensemble de celle-ci (filiale, métier, géographique, etc.). Management de la SI Une approche normative CLUSIF 2004

5 2. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L INFORMATION (SMSI) 2.1 Définition d un SMSI Un SMSI est un ensemble d éléments interactifs permettant à un organisme d établir une politique et des objectifs en matière de sécurité de l information, d appliquer la politique, d atteindre ces objectifs et de contrôler l atteinte des objectifs. La politique de sécurité de l information donne les grandes orientations de l organisme en matière de sécurité de l information et fixe des objectifs quantifiés. Elle est officiellement formulée par la Direction, qui s engage à fournir les moyens nécessaires pour atteindre ces objectifs. Elle est cohérente avec les objectifs métier de l organisme, et avec les besoins de ses clients et partenaires. Elle est communiquée au sein de l organisme, sa compréhension par les intervenants internes et externes est vérifiée, elle est revue de façon périodique (en général annuellement) pour rester en adéquation avec les objectifs globaux de l entité. Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l entité, et cette mesure permet d améliorer en permanence le SMSI. Le SMSI est cohérent avec les autres systèmes de management de l entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l environnement. Le SMSI inclut donc au minimum : des éléments documentaires (politique, description des objectifs, cartographie des processus impactés, des activités de sécurité, et des mesures), la description de la méthode d analyse des risques utilisée, les processus impliqués dans la mise en œuvre de la sécurité de l information, les responsabilités relatives à la sécurité de l information, les ressources nécessaires à sa mise en œuvre, les activités relatives à la sécurité de l information, les enregistrements issus des activités relatives à la sécurité de l information, les (relevés de) mesures prises sur les processus, les actions relatives à l amélioration de la sécurité de l information. L existence d un SMSI dans l organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de l information. Management de la SI Une approche normative CLUSIF 2004

6 2.2 Comment mettre en place un SMSI? L adoption d un SMSI est une décision stratégique pour un organisme. Sa conception, son implémentation, et son organisation dépendent des besoins de sécurité de l organisme. Ces besoins sont eux-mêmes fonction du métier de l organisme, des exigences de sécurité (client/interne) qui en résultent, des processus mis en place, de sa taille et de sa structure. Pour initialiser une démarche de SMSI, l organisme doit : déterminer le périmètre (fonctionnel, géographique, organisationnel, etc.) concerné, identifier parmi les processus de ce périmètre, ceux qui sont concernés par la sécurité de l information, et leurs risques associés, déterminer les exigences (objectifs, référentiels, méthodes, etc.) nécessaires pour assurer la sécurité des processus, définir les mesures de sécurité nécessaires pour se conformer aux exigences exprimées. Les processus nécessaires au SMSI comprennent ceux relatifs : aux activités de management, à la mise à disposition de ressources, à la réalisation des produits/services, aux mesures et à l amélioration. Si l organisme décide d externaliser un processus ayant une incidence sur la sécurité, il doit en assurer la maîtrise et mentionner dans le SMSI les moyens de cette maîtrise. Management de la SI Une approche normative CLUSIF 2004

7 3. LA NORME BS7799-2: Historique Au début des années 1990 de grands groupes britanniques (BT, Shell, Marks & Spencer, Nationwide Building Society, etc.) se sont rencontrés au sujet de l assurance des échanges commerciaux en ligne. L objectif était alors de proposer un nombre réduit de mesures clés, liées à la sécurisation de l information, que toute entreprise serait à même de mettre en œuvre. Le Département des Transports et de l Industrie britannique (DTI) tenait à ce que ces dix mesures clés soient identifiées et présentées dans une norme de gestion de la sécurité de l information, il parraine donc la rédaction d une première version de ce document - dans le respect des normes et standards du BSI (British Standards Institute). En 1991 un projet de «Code de bonnes pratiques» a été réalisé. Il recommandait en particulier la formalisation d une politique de sécurité de l information. Cette dernière devait intégrer au minimum 8 conditions (au niveau stratégique et opérationnel) ainsi qu une condition de "conformité" et être maintenue à jour. Ceci se traduit par l augmentation du nombre de responsables de la sécurité de l information chargés de s assurer de la conformité en accord avec la politique de l entreprise. En 1995, la BS 7799 présente 10 mesures clés intégrant 100 mesures détaillées potentiellement applicables. En 1998, il est adjoint une partie 2 à la BS 7799 dans laquelle plus de 100 mesures de sécurité sont détaillées selon le principe du management de la sécurité du système d information (Information Security Management System - ISMS) et fondée sur une approche de maîtrise des risques. La motivation de la partie 2 a été de mettre à disposition les fondements d un schéma de certification permettant d attester la conformité à ce qui est devenu la partie 1. La priorité a été donnée à l intégration des problématiques d e-business en les structurant dans la partie 1 de la BS 7799, pour que cette norme puisse être présentée à l ISO. Le nombre de mesures passe alors à 127. La BS7799-1:1999 est reconnue après une réflexion au niveau international et devient alors la norme internationale ISO / IEC en La BS :2002 remplace la version de 1998 de la BS pour mieux s inspirer des autres systèmes de management déjà existants tels que BS EN ISO 9001:2000 et BS EN ISO 14001:1996 afin de permettre une implémentation intégrée des différents systèmes de management. 3.2 Description de la norme Périmètre de la norme La norme BS7799-2:2002 définit des exigences pour planifier, implémenter, contrôler et améliorer un SMSI. Elle s applique à tout organisme, mais aussi à toute unité opérationnelle, tout département au sein d une entreprise ou tout site géographique, dès lors que celui-ci a la responsabilité de la protection de son information et donc dispose d un responsable identifié. Management de la SI Une approche normative CLUSIF 2004

8 Au sein de l organisme la norme concerne, aussi bien le système informatique, que les aspects humains et physiques, les processus, etc Structure de la norme La norme 1 est constituée de 2 parties distinctes : le corps du document rappelle et définit les concepts de SMSI, le modèle de «Plan, Do, Check, Act» (PDCA, cf. 3.4) et insiste sur les tâches et l implication du management, les annexes (A, B, C et D) du document. En dehors des chapitres introductifs de toute norme ISO ( 1 Champs d application, 2 Références, 3 Définitions), la norme aborde les thèmes suivants : la notion de SMSI au travers de l approche «processus» et du modèle PDCA ( 0) ainsi que le parallèle entre SMSI et les autres systèmes de management (qualité, environnement) ( 0), les jalons et tâches clés de la dynamique d un SMSI ( 4), les implications et les responsabilités du management associées à un SMSI ( 5 et 6), l amélioration continue du SMSI ( 7). L annexe A (normative) établit les objectifs de maîtrise de la sécurité en reprenant les thèmes directeurs de toutes les sections du document ISO Le terme «normatif» signifie que cette annexe est d application obligatoire pour conformité à la norme BS L annexe B (informative) présente de manière générique les actions à mettre en œuvre à chaque étape du cycle PDCA. Enfin, les annexes C et D, également informatives, précisent respectivement les similitudes entre les différents systèmes de management (ISO 9001:2000, ISO 14001:1996 et BS7799-2:2002) et les modifications survenues sur les versions antérieures de la norme dans BS7799-2: Reconnaissance internationale Comme le précise le tableau ci-après, à la date de rédaction de ce document, la norme BS7799-2:2002 est soit : utilisée directement dans sa version britannique par les organismes, sans avoir été adoptée formellement par les instances de normalisation nationales, reprise à l identique, i.e. avec un numéro de norme national, comme par exemple en Australie, en Nouvelle-Zélande ou en Afrique du Sud, reprise au niveau national, avec adaptation, comme par exemple en Espagne, au Danemark ou en Suède. 1 Au-delà de la définition issue d un dictionnaire, nous pouvons définir une norme comme étant un document de référence issu d un consensus d acteurs du marché et reconnu au niveau local, régional, national ou international. Management de la SI Une approche normative CLUSIF 2004

9 Pays 2 Asie Japon Océanie Australie Nlle Zélande Europe Danemark Espagne Suède Afrique Afrique du Sud Norme JIS X 5080:2002: Information technology Code of practice for information security management (ISO17799) JIS Q 2001:2001 Guidelines for Development and Implementation of Risk Management System (qui joue le role de la BS7799-2) JIPDEC Certification (Schéma de certification réglementaire) AS/NZS :2003: Information security management - Specification for information security management systems DS484-2 UNE 71502: "Requisitos para la gestión de la seguridad de TI" Norme basée sur la BS7799-2:2002 comprenant des éléments contextuels supplémentaires, traitant de la protection des données personnelles. Il existe un schéma de certification. SS :2003 Information security management - Specification for information security management systems Il existe un schéma de certification. SABS A décembre 2004, plus de 1000 certificats BS ont été recensés à travers le monde. Ce nombre représente une augmentation de plus de 100% par rapport à début Leur répartition géographique est de 47% au Japon, environ 18% en Royaume Uni, 14% dans le reste de l Europe, 17% en Asie (hors Japon), 2% pour les Amériques et 2% Pour le reste du monde. Aucun certificat n a été délivré en France. Comme pour les normes ISO9000, ces certificats portent le plus souvent sur un sous-ensemble des différents organismes. De ce fait, certains organismes peuvent détenir plusieurs certificats. Ces différents points sont développés au chapitre BS et SMSI La BS a été établie pour des managers et leurs équipes afin de fournir un modèle pour mettre en place et gérer un Système de Management de la Sécurité de l Information efficace. 2 Hors Royaume-Uni. Management de la SI Une approche normative CLUSIF 2004

10 La BS s appuie sur une approche processus pour définir, implémenter, mettre en fonction, maîtriser et améliorer l efficacité de l organisation d un SMSI. La démarche du British Standard suit le «Modèle PDCA» (Plan-Do-Check-Act), connu également sous le nom de «Roue de Deming» (cf. ISO9001:2000) qui s applique ainsi à tout SMSI. L approche processus met l accent sur l importance des points suivants : PLAN DO ACT CHECK P (compréhension) : Une bonne compréhension des besoins en matière de sécurité de l information au regard du business, et la nécessité d élaborer une politique et des objectifs en matière de sécurité de l information Etablissement du SMSI D (politique) : Les contrôles en phase d implémentation et de fonctionnement dans un contexte de management de l ensemble des risques de l organisation Mise en œuvre des processus, C (surveillance) : La surveillance et la révision des performances et de l efficacité du SMSI, A (amélioration) : L amélioration permanente du système de management, basée sur des mesures objectives. 3.5 BS et la gestion de la sécurité Différents acteurs sont concernés par la BS :2002. Chacun d eux trouvera dans la lecture de ce document les informations sur son rôle en fonction des étapes de mise en œuvre d un SMSI : analyse des risques, management du risque, processus d amélioration continu Qui est concerné par la norme elle-même? Toute personne concernée par une démarche de SMSI et/ou certification sont directement concernés par cette norme. Management de la SI Une approche normative CLUSIF 2004

11 3.5.2 Qui est concerné par le SMSI? Acteur Rôle / Intérêt Etape Propriétaires des informations, Responsables métiers Responsable de l analyse de risques Définissent les exigences de sécurité des informations dont ils sont les propriétaires. Identifie de manière exhaustive les actifs sensibles de l entreprise, les menaces pesant sur ces actifs et les vulnérabilités qu elles pourraient exploiter. P P / C RSSI Propose des mesures de sécurité P Tous Direction Générale Mettent en œuvre des mesures de sécurité Participent à l amélioration du SMSI Lance la démarche PDCA Valide le traitement du risque D A P Contrôle Interne Audite la démarche, les mesures mises en place C Analyse des risques Les exigences de sécurité (Disponibilité, Intégrité, Confidentialité, Preuve) sont définies par les propriétaires des informations. Le responsable de l analyse des risques à partir de l identification exhaustive des actifs sensibles de l entreprise, des menaces pesant sur ces derniers et des vulnérabilités qu elles pourraient exploiter, évalue les risques Gestion du risque Le RSSI est le principal acteur à qui s adresse ce document. Il devra : définir la démarche à suivre (description des étapes nécessaires) pour établir son SMSI, proposer les mesures de sécurité à mettre en place «a priori» (issus de la BS ou non). La Direction Générale a pour attribution principale : d affecter les ressources humaines et financières nécessaires à la mise en œuvre des mesures et éventuellement d accepter certains risques pour l entreprise, de valider et s engager sur les objectifs de la politique de sécurité. Les différentes structures de l entreprise devront mettre en place les mesures validées par la Direction Générale Processus d amélioration continue Le Contrôle Interne ou Audit a en charge la conduite de missions d audit interne de la gestion de la politique de sécurité déployée. Le document précise les modalités (la périodicité, les objets et la qualité) de ces audits du SMSI. Management de la SI Une approche normative CLUSIF 2004

12 3.6 BS et qualité La norme dispose d un «héritage» affiché, exposé dès le paragraphe d introduction, avec l approche qualité. Cette problématique est omniprésente dans tout le document. Ce fort lien est illustré notamment par les deux points suivants : alignement de la BS :2002 avec la norme ISO 9001:2000 pour être compatible avec d autres systèmes de management, utilisation de l approche processus, élément fondamental de management de la qualité dans l ISO 900n:2000, et du modèle dit «PDCA». Par ailleurs, le contenu du texte de la BS :2002 est, en ce qui concerne la protection de l information, en grande partie une déclinaison de l ISO 9001:2000. Enfin, l annexe C fournit les correspondances, chapitre par chapitre de BS7799-2:2002 avec l ISO 9001:2000, ainsi que l ISO 14001:1996 pour les thématiques communes. Il faut néanmoins noter que ces deux premières normes sont structurées différemment : la structure de la BS :2002 est basée sur le modèle de Deming (PDCA) et de l analyse des risques, la structure de l ISO 9001:2000 est une description plus complète de l ensemble des processus impactant la qualité du produit. Si certains thèmes de l ISO 9001 sont repris dans la BS , d autres sont : traités de manière très succincte, comme le paragraphe sur les audits internes, la revue de direction, etc. traités de manière indirecte. Par exemple, le paragraphe 6.2 («Management des ressources humaines») de l ISO 9001:2000 est rapproché du paragraphe de la BS :2002 («Training, awareness and competency») quoique plus réducteur, non cités, comme le contenu du chapitre 7 de l ISO 9001:2000 («Réalisation du produit»), à peine évoqué par le biais des "actions" dans le paragraphe sur l analyse des risques ou le paragraphe 6.3 de l ISO 9001:2000 («Infrastructure»). 3.7 BS et analyse de risques L analyse de risques joue un rôle essentiel tout au long de la vie du SMSI, aussi bien lors de sa définition (le plan du modèle PDCA), que lors de sa maintenance et de son amélioration (le check du PDCA). En effet, la norme stipule qu une analyse de risques doit être intégrée dans le processus d établissement du SMSI. Idéalement cela peut être réalisé dès la phase de démarrage, afin de lui fournir de la matière première à l établissement des besoins et des mesures de sécurité à mettre en œuvre. Une approche méthodique est recommandée, toute mesure devant avoir un justificatif formel (i.e., écrit et argumenté) à partir des risques identifiés. Les objectifs du SMSI sont alors fixés en vue de ramener les risques identifiés à un niveau acceptable pour l organisme. L analyse de risques intervient de nouveau en phase de supervision et de révision du SMSI (la phase check). Cette étape est nécessaire pour garantir la pérennité du SMSI et son adéquation face aux évolutions de l organisme, aux changements d ordres réglementaires, légaux et techniques, et à Management de la SI Une approche normative CLUSIF 2004

13 des nouvelles menaces identifiées. Cette étape, planifiée, est l occasion d adapter les procédures qui ont été mises en place dans le SMSI en fonction des risques, qu ils soient initiaux ou nouveaux, et de leur niveau d acceptation. Aucune méthode d analyse de risques n est préconisée dans la BS Toute méthode, suffisamment éprouvée, peut être utilisée à condition qu elle soit bien adaptée au SMSI en cours de définition, à l organisme et au contexte d utilisation (application, type de résultat attendu, spécificité du domaine, compatibilité avec le référentiel de l entité, etc.). Les méthodes les plus connues en France sont EBIOS (DCSSI) et MEHARI (Clusif). Chacune possède sa propre base de connaissance (vulnérabilités, méthodes d attaques, exigences de sécurité, etc.), qui peut ne pas traiter tous les thèmes cités dans la BS Management de la SI Une approche normative CLUSIF 2004

14 4. BS ET CERTIFICATION 4.1 La certification BS des organismes Une des motivations des utilisateurs de la BS est d obtenir une certification sur une organisation, un service ou une entité, afin de pouvoir notamment en faire état. La certification ne garantit pas un niveau de sécurité, elle atteste de l application d une démarche de management de la sécurité de l information selon la norme BS La validité d un certificat BS est de trois ans, sous réserves d une surveillance au minimum annuelle effectuée par l organisme certificateur sur un échantillon de processus. Si des non-conformités majeures par rapport à la démarche BS sont constatées, la certification BS n est pas accordée (ou immédiatement supprimée, dans le cas d un audit de surveillance). Si des non-conformités mineures sont constatées, elles sont rapportées dans le rapport d audit. L entité est tenue dans un délai rapide de présenter un plan des actions correctives, dont l exécution sera vérifiée lors du prochain audit de surveillance. De notre compréhension, un organisme de certification ne peut pas assister l entité dans sa démarche de préparation à la certification. Dans le cadre de la certification BS7799-2, le schéma de certification est le suivant : Autorité d accréditation (COFRAC, UKAS, etc.) Accrédite sur la base de EN EA-7/03 Organismes accrédités (organismes certificateurs) Évaluent puis certifient le SMSI sur la base de la BS et les documents fournis par l entité (politique de sécurité, plan de traitement des risques, etc.) Organisme certifié Utilise le certificat pour démontrer à ses partenaires, clients, etc., sa conformité à une démarche de management de la sécurité de l information. Clients, partenaires, etc. Management de la SI Une approche normative CLUSIF 2004

15 A ce jour, il n existe pas de certificateur français. Néanmoins, il est possible pour un organisme français de se faire certifier par un certificateur (français ou étranger) accrédité lui-même par une autorité d un autre pays européen. Des organismes français ont envisagé d entamer une démarche en vue d une certification, mais la plupart se sont interrompus, notamment faute d un certificateur français. 4.2 La certification «Lead Auditor» des personnes Dans le cadre de ses activités para-normatives, le BSI organise depuis plusieurs années, différents cycles de formation autour de la norme BS Un de ces cycles de formation appelé «BS7799 Lead Auditor» permet aux participants, majoritairement des auditeurs internes ou externes, d aborder les notions de base des principes d audit général de sécurité, de l analyse et du management des risques et de l approche de la certification BS Elle permet de participer à un examen final des connaissances, dont la réussite est sanctionnée par l attribution de la certification «BS7799 Lead Auditor». Il n existe pas de liste exhaustive de personnes certifiées «BS7799 Lead Auditor». Des organismes proposent des listes d individus certifiés construites à partir de critères supplémentaires (diplômes académiques, années d expériences professionnelles, audits réalisés, cotisation, etc.). Selon notre compréhension : la certification «BS7799 Lead Auditor» apporte la garantie que l auditeur a suivi et compris la formation et a réussi l examen, il n est pas nécessaire (ni suffisant) d être qualifié «BS7799 Lead Auditor» pour pouvoir participer à l équipe de certification d un SMSI selon la BS En effet, il n est fait mention d aucune obligation de qualification «officielle» du personnel de certification dans les normes EA7/03. A la date de rédaction de ce document, d autres sociétés que le BSI sont habilitées à dispenser le cours et l examen du «BS7799 Lead Auditor». 4.3 Autres pratiques et normes de certification ISO9001 Il faut distinguer la certification d'organisations (ex. ISO 9001, ISO 14001, OHSAS ), de la certification de produits ou systèmes (ex. ISO 15408). Pour rester dans la perspective globale de ce document, nous parlerons dans ce paragraphe, à titre d'exemple, de l'audit de certification ISO 9001:2000 des Systèmes de Management de la Qualité. L'audit de certification selon l'iso 9001 se déroule en plusieurs étapes, qui sont : La définition du périmètre de l'audit et sa planification, 3 OHSAS : Certification Santé et Sécurité au Travail Management de la SI Une approche normative CLUSIF 2004

16 La phase d'audit proprement dite, avec l'examen du système de management de la qualité, et les différents entretiens, dont les entretiens avec la direction. Cette phase se déroule généralement sur quelques jours, mais la durée et le nombre d'auditeurs et d'intervenants internes peuvent varier selon la taille de l'organisation, et le périmètre de l'audit. Elle se conclut par une première réunion de restitution "à chaud" avec la direction, qui permet d'éclaircir des ambiguïtés ou des remarques issues des entretiens. Elle se termine par l'émission, dans des délais brefs (une à deux semaines), du rapport d'audit, qui récapitule les conformités et les atouts de l'organisation par rapport à ses objectifs et à la norme, mais aussi les remarques, voire les non-conformités, qui justifient la conclusion : d'attribution ou non du certificat lors de l'audit initial, de renouvellement ou de retrait du certificat, dans le cadre d'un audit de renouvellement. Les audits se déroulent conformément aux recommandations de la norme ISO Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental. Elle requiert notamment l'indépendance entre l'organisme effectuant l'audit de certification de l'organisation et l'organisation, donc, éventuellement, l'entreprise accompagnant l'organisation dans sa démarche de certification. Le certificat est valide pour une durée maximale de 3 ans, et fait l'objet d'audits annuels de suivi, puis, au bout de 3 ans, d'un audit de renouvellement. Durant cette période, l'organisme ayant attribué le certificat surveille l'emploi qui en est fait par l'organisation, et peut sanctionner, par exemple, des annonces abusives sur des extensions de périmètre imaginaires, sanctions pouvant aller jusqu'au retrait immédiat du certificat hors audit. L'organisme certificateur doit avoir été accrédité par le COFRAC pour la norme considérée ISO15408 La certification selon les «Critères Communs» («CC» ou encore «ISO15408») concerne les produits et systèmes informatiques (pas nécessairement des produits et systèmes de sécurité informatique). A la différence des autres certifications, un produit est certifié ISO15408 par rapport à un niveau d assurance (à tort aussi appelé «niveau de sécurité») de EAL1 (le plus faible) à EAL7 (le plus élevé). Ces différents niveaux impliquent une étude plus ou moins approfondie de la cible d évaluation (Target Of Evaluation, TOE) qui délimite le périmètre du produit qui est évalué. Le schéma de certification ISO15408 diffère des certifications traditionnelles puisqu il n existe qu un seul organisme de certification gouvernemental : la DCSSI, en France. De même, les laboratoires d évaluation (CESTI) sont accrédités par le COFRAC, et doivent être aussi agréés par la DCSSI. Ainsi, un organisme souhaitant faire évaluer un produit (ou système) doit : déterminer sa cible d évaluation (TOE), qui inclut le niveau d assurance, la faire valider par la DCSSI, choisir un laboratoire d évaluation agréé, faire évaluer son produit. Management de la SI Une approche normative CLUSIF 2004

17 A l issue de l évaluation, le dossier d évaluation est transmis à la DCSSI, qui émettra le cas échéant le certificat correspondant. La certification d un produit ou d un système est un investissement à long terme puisque le processus d évaluation peut prendre plusieurs mois. De même, tout changement significatif de la cible d évaluation nécessite une ré-évaluation de l ensemble. Management de la SI Une approche normative CLUSIF 2004

18 5. CONCLUSION La norme BS a rencontré une large audience et adhésion dans différents pays. Il est vraisemblable qu'elle servira de base de travail à une prochaine norme internationale de type ISO. Jusqu'à présent il manquait une démarche structurée de mise en œuvre d'une politique de sécurité au quotidien. La BS comble ce vide et permet à des organismes de structurer la gestion de leur sécurité. Si on se réfère aux données publiques, il apparaît à l'évidence une très forte croissance en termes de nombre de certificats délivrés sur un an. Toutefois on constate que l'europe continentale et l'amérique du Nord sont en retard par rapport à la Grande Bretagne et à l'asie sur ce point. Management de la SI Une approche normative CLUSIF 2004

ISO17799:2005. Présentation générale, état des lieux, limites d utilisation. Groupe de travail ISO17799 Juillet 2006. 2ème édition révisée

ISO17799:2005. Présentation générale, état des lieux, limites d utilisation. Groupe de travail ISO17799 Juillet 2006. 2ème édition révisée DOSSIER TECHNIQUE ISO17799:2005 Présentation générale, état des lieux, limites d utilisation Groupe de travail ISO17799 Juillet 2006 2ème édition révisée CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30,

Plus en détail

Brève étude de la norme ISO/IEC 27003

Brève étude de la norme ISO/IEC 27003 RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr

Plus en détail

Définir un modèle générique de l ISMS 1 pour PME/PMI

Définir un modèle générique de l ISMS 1 pour PME/PMI Définir un modèle générique de l ISMS 1 pour PME/PMI Travail de diplôme réalisé en vue de l obtention du diplôme d informaticien de gestion HES Par : Alphonse Etienne ETOGA Conseiller au travail de diplôme

Plus en détail

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation BELAC 2-002 Rev 2-2014 CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation Les dispositions de la présente procédure

Plus en détail

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 2012-2013 Formations Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 01/11/2012 Table des Matières Présentation du Cabinet CESSI... 3 1- ISO 27001 Foundation... 5 2- ISO 27001 Lead Auditor...

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

L évolution des systèmes de management

L évolution des systèmes de management 1 L évolution des systèmes de management 1.1 L évolution du marché De nouvelles donnes du marché sont apparues depuis la publication de la version 1994 des normes de la série ISO 9000. Les versions 2008

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Club 27001 Toulouse 01/06/2007. Couverture organisme national

Club 27001 Toulouse 01/06/2007. Couverture organisme national Club 27001 Toulouse 01/06/2007 Couverture organisme national Ordre du jour Objectifs et fonctionnement Tour de table État de la norme Retour des réunions parisiennes Propositions pour la prochaine réunion

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail

Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001

Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001 Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001 Revision du 03/06/2008 Règles de certification des système de management d entreprise ISO 14001-ISO 9001 1/12 Révision

Plus en détail

Evolution des normes ISO 9001 et 14001 v 2015. Laurent BOULINGUEZ AXE Octobre 2015

Evolution des normes ISO 9001 et 14001 v 2015. Laurent BOULINGUEZ AXE Octobre 2015 Evolution des normes ISO 9001 et 14001 v 2015 Laurent BOULINGUEZ AXE Octobre 2015 OBJECTIFS DE LA PRÉSENTATION Connaître les principales évolutions des normes 9001 et 14001 2 LES NORMES 9001 & 14001 v2015

Plus en détail

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Cinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro

Cinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr> Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

2012 / 2013. Excellence. Technicité. Sagesse

2012 / 2013. Excellence. Technicité. Sagesse 2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique

Plus en détail

Club 27001 toulousain

Club 27001 toulousain Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Management environnemental : ISO 14001

Management environnemental : ISO 14001 GEME Management environnemental : ISO 14001 Arnaud Hélias arnaud.helias@supagro.inra.fr PUB... Plan Introduction Généralités & grandes lignes de la normes Démarche Quelques chiffres les coûts, les entreprises

Plus en détail

Systèmes de Management de l Energie Pourquoi choisir l ISO 50001?

Systèmes de Management de l Energie Pourquoi choisir l ISO 50001? Systèmes de Management de l Energie Pourquoi choisir l ISO 50001? Réduire le coût énergétique : outils et solutions pratiques AFQP 06 & CCI de Nice Côte d Azur le 13/01/2015 Théophile CARON - Chef de Projet

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Système de Management de la Qualité

Système de Management de la Qualité CHAPOUTIER Système de Management de la Qualité CHAPOUTIER HISTORIQUE LES NORMES QU EST CE QUE LA QUALITE? CONSTRUIRE SON SMQ (Système Maitrise Qualité) - Politique qualité - Maitrise de la qualité HYGIENE

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

LES REFÉRENTIELS ILO OSH 2001

LES REFÉRENTIELS ILO OSH 2001 LES REFÉRENTIELS Une trentaine de référentiels Hygiène Santé Sécurité au Travail ont été répertoriés à travers le monde. Deux grandes familles se distinguent : Les référentiels assimilés tels que l OHSAS

Plus en détail

L'intérêt de la 27001 pour le CIL

L'intérêt de la 27001 pour le CIL HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

PLAN DE CONTROLE EXTERNE REFERENTIEL QUALIPSAD

PLAN DE CONTROLE EXTERNE REFERENTIEL QUALIPSAD PLAN DE CONTROLE EXTERNE REFERENTIEL QUALIPSAD Version V4 du 28 mai 2013 Bureau Veritas Certification 1 / 20 SOMMAIRE OBJET, CONDITIONS PREALABLES DE L AUDIT TIERCE PARTIE ET PERIMETRE DE CONFORMITE...

Plus en détail

Très faible nombre de sociétés certifiées ISO 27001 en France

Très faible nombre de sociétés certifiées ISO 27001 en France Conférence CLUSIF, 23 Octobre 2008 Très faible nombre de sociétés certifiées ISO 27001 en France Retour d expérience de la dernière en date Stéphane Duproz Directeur Général stephane.duproz@telecity.com

Plus en détail

L évaluation à haut niveau d assurance

L évaluation à haut niveau d assurance L évaluation à haut niveau d assurance Agréé DCSSI Vos contacts : ACCREDITATION N 1-1528 Section Laboratoires Christophe ANIER (Responsable Technique du CESTI) christophe.anier@aql.fr Christian DAMOUR

Plus en détail

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages

Plus en détail

CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT

CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT Introduction Un moyen de se doter d un système de contrôle interne efficace et performant réside dans la mise en place d un système de

Plus en détail

Gestion des risques dans la santé

Gestion des risques dans la santé HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des risques dans la santé Illustration avec le DMP1 CNSSIS,

Plus en détail

AUDITS QUALITÉ INTERNES

AUDITS QUALITÉ INTERNES AUDITS QUALITÉ INTERNES 0 Ind. Date Etabli par Vérifié par Approuvé par observations 1/6 1. OBJET Cette procédure a pour objet de définir l'organisation, la planification, la réalisation et le suivi des

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Révisions ISO. ISO Revisions. ISO 9001 Livre blanc. Comprendre les changements. Aborder le changement

Révisions ISO. ISO Revisions. ISO 9001 Livre blanc. Comprendre les changements. Aborder le changement Révisions ISO ISO 9001 Livre blanc Comprendre les changements Aborder le changement ISO 9001 en bref Comment fonctionne ISO 9001? ISO 9001 peut s appliquer à tous les types et tailles d organisations et

Plus en détail

AVANT-PROPOS. Certains aspects du module D peuvent nécessiter une étude plus approfondie. Une révision du guide pourra donc s'avérer nécessaire.

AVANT-PROPOS. Certains aspects du module D peuvent nécessiter une étude plus approfondie. Une révision du guide pourra donc s'avérer nécessaire. Le présent document est une traduction du guide 8.4, dont l original en anglais est disponible sur le site Internet de WELMEC (www.welmec.org). Pour tout problème d interprétation, il est nécessaire de

Plus en détail

ISO 27001:2013 Béatrice Joucreau Julien Levrard

ISO 27001:2013 Béatrice Joucreau Julien Levrard HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme

Plus en détail

AXELOS Limited. Formations AXELOS Limited

AXELOS Limited. Formations AXELOS Limited AXELOS Limited Formations AXELOS Limited Abréviations ITIL Abréviations ITIL V2 SS Service Strategy (3 crédits) SD Service Design (3 crédits) ST Service Transition (3 crédits) SO Service Operation (3 crédits)

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

SOMMAIRE. Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi?

SOMMAIRE. Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi? SOMMAIRE Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi? Comment arriver à la non régression de la sécurité de l information? Pourquoi l ISO 27001? Comment

Plus en détail

Gestion des risques. en sécurité. de l information. Mise en œuvre de la norme ISO 27005. Préface de Hervé Schauer

Gestion des risques. en sécurité. de l information. Mise en œuvre de la norme ISO 27005. Préface de Hervé Schauer A N N E L U P F E R Préface de Hervé Schauer Gestion des risques en sécurité de l information Mise en œuvre de la norme ISO 27005 Groupe Eyrolles, 2008, 2010, ISBN : 978-2-212-12593-1 Préface La norme

Plus en détail

INAO-CIRC-2014-01 Rév.1. Objet : Points d interprétation de la norme NF EN ISO/CEI 17065 au regard des SIQO. Destinataires

INAO-CIRC-2014-01 Rév.1. Objet : Points d interprétation de la norme NF EN ISO/CEI 17065 au regard des SIQO. Destinataires Suivi par le Service Contrôles Tél : 01.73.30.38.66 CIRCULAIRE INAO-CIRC-2014-01 Rév.1 Date : le 15 juillet 2014 Modifiée le : 24 avril 2015 Objet : Points d interprétation de la norme NF EN ISO/CEI 17065

Plus en détail

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Ali GHRIB Directeur Général ali.ghrib@ansi.tn Sommaire 1 2 Présentation de l agence nationale

Plus en détail

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

NOTES DE DOCTRINE. Manuel* réf. : PAGE PI CERTIF* réf. : 1 PE CERTIF* réf. : 02

NOTES DE DOCTRINE. Manuel* réf. : PAGE PI CERTIF* réf. : 1 PE CERTIF* réf. : 02 Manuel* réf. : PI CERTIF* réf. : 1 PE CERTIF* réf. : 02 RDT-ISC-0002-2014-Rév 0 3 NOTES DE DOCTRINE *Manuel = Manuel Qualité - PI = Procédure Interne - PE = Procédure Externe RÉDACTION VÉRIFICATION APPROBATION

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

PRINCIPES ET ENJEUX DU MANAGEMENT INTEGRE QSE

PRINCIPES ET ENJEUX DU MANAGEMENT INTEGRE QSE PRINCIPES ET ENJEUX DU MANAGEMENT INTEGRE QSE Convergences et spécificités des référentiels ISO 9001 / 14001 / OHSAS 18001 Vianney BOCK 14, rue Cassini 06300 NICE Phone : +33 4 93 56 46 92 Mobile : +33

Plus en détail

1 Pourquoi modifier l ISO 9001?

1 Pourquoi modifier l ISO 9001? 1 Pourquoi modifier l ISO 9001? 1.1 L examen systématique de la norme ISO 9001:2000 Chaque norme internationale fait l objet d un examen systématique en vue de déterminer s il convient de la confirmer,

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

Fiche conseil n 16 Audit

Fiche conseil n 16 Audit AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS

Plus en détail

LA NORME ISO 14001 A RETENIR

LA NORME ISO 14001 A RETENIR A RETENIR La norme ISO 14001, publiée en 1996, est une norme internationale qui s'applique à tous les types d'organisations (entreprises industrielles, de services, etc.) quelles que soient leurs tailles

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Passer de l ISO 9001:2008 à l ISO 9001:2015

Passer de l ISO 9001:2008 à l ISO 9001:2015 ISO 9001 Guide de transition Révisions ISO Passer de l ISO 9001:2008 à l ISO 9001:2015 La nouvelle norme internationale pour les systèmes de management de la qualité ISO 9001 - Système de Management de

Plus en détail

ISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

ISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013 RAPPORT TECHNIQUE ISO/IEC TR 90006 Première édition 2013-11-01 Technologies de l information Lignes directrices pour l application de l ISO 9001:2008 pour la gestion des services IT et son intégration

Plus en détail

Gérer concrètement ses risques avec l'iso 27001

Gérer concrètement ses risques avec l'iso 27001 SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour

Plus en détail

Guide de lecture de la révision 06 du document LAB REF 02

Guide de lecture de la révision 06 du document LAB REF 02 Introduction : Le document LAB REF 02 «Exigences pour l accréditation des laboratoires suivant la norme NF EN ISO/CEI 17025» est un document essentiel à la fois pour les laboratoires accrédités et candidats

Plus en détail

AGROALIMENTAIRE. Système de management de la sécurité des denrées alimentaires ISO 22 000. Présentation de la norme

AGROALIMENTAIRE. Système de management de la sécurité des denrées alimentaires ISO 22 000. Présentation de la norme AGROALIMENTAIRE Système de management de la sécurité des denrées alimentaires ISO 22 000 Présentation de la norme 25 mars 2006-1 - Table des matières CHAPITRE 1 La normalisation : une démarche au service

Plus en détail

I.T.I.L. I.T.I.L. et ISO 20000 ISO 20000. La maturité? La Mêlée Numérique 10. le 8 juin 2006. Luc Van Vlasselaer http://itil.lv2.

I.T.I.L. I.T.I.L. et ISO 20000 ISO 20000. La maturité? La Mêlée Numérique 10. le 8 juin 2006. Luc Van Vlasselaer http://itil.lv2. et La maturité? La Mêlée Numérique 10 le 8 juin 2006 Plan de la p Introduction /IEC Conclusions Questions et réponses La Norme /IEC ntroduction Technologie de l'information - Gestion des services Partie

Plus en détail

DECRYPTAGE LES AUDITS ENERGETIQUES OBLIGATOIRES POUR LES GRANDES ENTREPRISES. Version 0.6 06/02/2015

DECRYPTAGE LES AUDITS ENERGETIQUES OBLIGATOIRES POUR LES GRANDES ENTREPRISES. Version 0.6 06/02/2015 DECRYPTAGE LES AUDITS ENERGETIQUES OBLIGATOIRES POUR LES GRANDES ENTREPRISES 1 Version 0.6 06/02/2015 2 PARTIE I : DÉCRYPTAGE RÉGLEMENTAIRE Cadre réglementaire et normatif Les entreprises concernées Objectifs

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Certification ISO 27001

Certification ISO 27001 Certification ISO 27001 26 octobre 2006 Alexandre Fernandez Hervé Schauer Sommaire ISO 27001 : PDCA Certification d'un système de management Processus de certification Schéma de certification Accréditation

Plus en détail

ISO 22000 : Une norme internationale dédiée à l agroalimentaire

ISO 22000 : Une norme internationale dédiée à l agroalimentaire ISO 22000 : Une norme internationale dédiée à l agroalimentaire Par : EL ATYQY Mohamed, Ingénieur I.A.A www.azaquar.com Sommaire : 1. INTRODUCTION...2 2. Genèse de la norme ISO 22000...2 3. PRINCIPES DE

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien

Plus en détail

Démarches de Sécurité & Certification : Atouts, Limitations et Avenir

Démarches de Sécurité & Certification : Atouts, Limitations et Avenir Démarches de Sécurité & Certification : Atouts, Limitations et Avenir Orange Business Services Silicomp-AQL 1 rue de la Chataigneraie CS 51766 35517 CESSON-SEVIGNE Cedex France Christian Damour Responsable

Plus en détail

REFERENTIEL D AGREMENT DES CENTRES DE FORMATION

REFERENTIEL D AGREMENT DES CENTRES DE FORMATION REFERENTIEL D AGREMENT DES CENTRES DE FORMATION DPMC- ADM- SPO Page - 1-16/07/2009 Généralités Le DPMC est l organisme désigné par la CPNE, en charge du contrôle des compétences pour la délivrance du CQP

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

1 La méthodologie 7 S pour conduire un projet QSE

1 La méthodologie 7 S pour conduire un projet QSE 1 La méthodologie 7 S pour conduire un projet QSE Cette méthode, fruit de retours d expériences, permet de maîtriser un projet QSE et d atteindre l objectif de certification. C est une véritable «feuille

Plus en détail

Revue du Dossier d Audit et Décision de Certification ISO 9001/ISO 14001 PR_PAC_RVDOSS_00

Revue du Dossier d Audit et Décision de Certification ISO 9001/ISO 14001 PR_PAC_RVDOSS_00 Page: 1 / 11 1 OBJECTIF, EXIGENCES FONDAMENTALES... 2 2 VERIFICATION DES DOSSIERS DE CERTIFICATION... 2 2.1 REVUE DES CONTRATS... 2 2.2 REVUE FORMELLE ET TECHNIQUE... 4 2.3 REVUE DE LA BRANCHE EAC ADDITIONNELLE:...

Plus en détail

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris Le 17 avril 2013 Pavillon Dauphine, Paris Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) 6 09 06 76 91 Nathan.Srour@orsyp.com Damien CONVERT

Plus en détail

PARTIE 2 EXIGENCES A RESPECTER PAR LE DEMANDEUR/TITULAIRE

PARTIE 2 EXIGENCES A RESPECTER PAR LE DEMANDEUR/TITULAIRE REGLES DE CERTIFICATION MARQUE NF 315 NF Petite Enfance PARTIE 2 EXIGENCES A RESPECTER PAR LE DEMANDEUR/TITULAIRE SOMMAIRE 2.1. Exigences concernant les produits 2.2. Exigences concernant le système de

Plus en détail

Règles de certification

Règles de certification N d identification : NF 248 N de révision : Version 7.3 Date de mise à jour : 27/03/2015 et Addendum n 1 du 27/03/2015 Date de mise en application : 20/04/2015 Règles de certification ACTIVITES DES PEPINIERES

Plus en détail

Transition de la norme NF EN 45011-Guide ISO/CEI 65 vers la norme NF EN ISO/CEI 17065

Transition de la norme NF EN 45011-Guide ISO/CEI 65 vers la norme NF EN ISO/CEI 17065 1. Introduction La norme NF EN ISO/CEI 17065 :2012 a été publiée en version anglaise le 15/09/2012 et française le 06/12/2012. La révision vise notamment à intégrer sous forme d exigences les éléments

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation Procédure d habilitation Version 1.1 Page 1/12 Historique des versions Date Version Évolutions du document 17/12/2010 1.0 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

L Audit selon la norme ISO27001

L Audit selon la norme ISO27001 L Audit selon la norme ISO27001 5 ème Rencontre des Experts Auditeurs ANSI Anissa Masmoudi Sommaire 1. La norme ISO27001 2. La situation internationale 3. L audit selon la norme ISO27001 4. Audit 27001

Plus en détail

Efficacité énergétique cadre normatif et évolutions à venir

Efficacité énergétique cadre normatif et évolutions à venir Efficacité énergétique cadre normatif et évolutions à venir Audits énergétiques et management de l énergie AFNOR Energies catherine.moutet@afnor.org Tél : 01 41 62 86 55 SOMMAIRE Panorama de la normalisation

Plus en détail

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise CCI Moselle, le16 avril 2013 Système de Management Intégré Qualité, Sécurité et Environnement Un atout pour l entreprise Intervention de Olivier Rousseaux, Auditeur QSE, Expert en organisation et management

Plus en détail

Sécurité de l Information Expérience de Maroc Telecom

Sécurité de l Information Expérience de Maroc Telecom Sécurité de l Information Expérience de Maroc Telecom Fouad Echaouni Responsable Adjoint Sécurité de l Information Lead Auditor ISO 27001 CLUSIF / Conférence du 23 octobre 2008 Propriété Maroc Telecom

Plus en détail

LA VERSION ELECTRONIQUE FAIT FOI

LA VERSION ELECTRONIQUE FAIT FOI EXIGENCES SPECIFIQUES POUR LA CERTIFICATION DES PERSONNES REALISANT DES DIAGNOSTICS TECHNIQUES IMMOBILIERS CEPE REF 26 Révision 06 Septembre 2009 Section «Certification d Entreprises et de Personnels et

Plus en détail

METIERS DE L INFORMATIQUE

METIERS DE L INFORMATIQUE METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.

Plus en détail

PROCESSUS DE CERTIFICATION DE SYSTÈME DE MANAGEMENT

PROCESSUS DE CERTIFICATION DE SYSTÈME DE MANAGEMENT PROCESSUS DE CERTIFICATION DE SYSTÈME DE MANAGEMENT CONTROL UNION INSPECTIONS FRANCE 16 rue Pierre Brossolette 76600 Le Havre Tel : 02 35 42 77 22 Processus de Certification de système de management 01

Plus en détail

Phase 1: Planifier. Les principes. Les principaux référentiels. R Collomp - D Qualité II.2. Cer5f ISO 9001

Phase 1: Planifier. Les principes. Les principaux référentiels. R Collomp - D Qualité II.2. Cer5f ISO 9001 Phase 1: Planifier Les principes Les principaux référentiels 1 Phase 1: Planifier Les principaux référentiels Principes des certifications - accréditations Certification HAS Certification ISO 9001 Certification

Plus en détail

LA MAÎTRISE DE LA QUALITE PAR LES CABINETS D AUDIT

LA MAÎTRISE DE LA QUALITE PAR LES CABINETS D AUDIT LA MAÎTRISE DE LA QUALITE PAR LES CABINETS D AUDIT par Janin AUDAS et Brigitte GUILLEBERT Associés de 01 AUDIT ASSISTANCE Novembre 2011 Tout cabinet d audit doit gérer la qualité de ce qu il produit, c

Plus en détail

LES METRIQUES DANS LE CADRE DE LA SERIE 27000

LES METRIQUES DANS LE CADRE DE LA SERIE 27000 LES DOSSIERS TECHNIQUES LES METRIQUES DANS LE CADRE DE LA SERIE 27000 mai 2009 Groupe de Travail Série 27000 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33

Plus en détail